跨辖区数据本地化
1)目的和领域
确保满足所有目标司法管辖区的数据本地化/驻留要求,同时保持产品的可用性、安全性和性能。覆盖范围:产品(web/mobile),KYC/AML/RG,支付(PCI),营销/CRM,分析/写作,备份/DR,游戏提供商/聚合商,附属公司,云供应商。
2)基本概念
数据驻留(Data Residency)-数据实际存储的地方。
数据主权(Data Sovereignty):国家对其领土内或与其实体有关的数据进行监管的权利。
跨境转移:在"本国"管辖范围之外进行访问、复制或处理。
个人数据(PII)/敏感PII:KYC文件,付款详细信息,RG/SE状态,生物识别。
聚合/别名/匿名:分析和共享中的风险最小化技术。
3)原则
1.本地第一:个人数据在规则要求的情况下存储和处理在玩家的"主场"区域。
2.最小化和隔离:只保留必要的、明确的Tenant/地区隔离。
3.合法移交:只有有效的法律机制和风险评估。
4.加密支持:在rest/in transit加密,区域一侧密钥管理(如果可能,"bring/hold your own key")。
5.可证明性:数据图,DPIA/TRA,访问日志和存储位置确认。
6.失误安全:备用和DR符合与战斗数据相同的居住规则。
4)角色和RACI
合规之头/DPO-政策,DPIA,法律机制,审计。(A)
Security/Infra Lead-区域体系结构,密钥/加密,访问控制。(R)
Data Platform/Analytics-匿名/别名模型,流水线。(R)
工程/SRE-区域部署、复制、DR/BCP。(R)
法律-跨境协议,供应商合同,DPA/SA。(C)
Procurement/Vendor Mgmt-供应商评估,数据中心位置。(R)
内部审计-样本,工件控制,CAPA。(C)
Product/CRM/BI-遵守钓鱼/活动/报告中的限制。(R)
5)数据分类和制图
类别:- CUS/年龄:文件,自拍照,生物识别,检查结果。
- 付款/PCI:PAN/令牌,3DS/AR,PSP ID。
- 游戏活动:会话,投注,获胜/损失,RG/SE/RC事件。
- 营销/CRM:联系人,偏好,支持标志。
- Logi/Tel-Metry:应用程序事件、错误、跟踪。
- 分析/报告:总数,立方体,ML-fici。
- 来源→系统→储存区域→法律地位→消费者→储存期→处置机制。
- 强制性的直观线程映射,包括复制/复制对象和类型(RAW/PII免费/匿名)。
6)本地化架构模式
区域Tenancy:具有数据库隔离/秘密/密钥的单独集群(欧盟,英国,TR,BR,CA,AU等)。
按区域/市场划分的数据共享:密钥中的"tenant_region"前缀,通过Geo-Router/API Gateway漫游查询。
控制平面vs数据平面:没有PII的全球控制面板;PII仅在区域数据播放中。
没有PII的边缘缓存:仅缓存公共/非个人内容。
通过De-PII管道进行分析:仅将单元/别名导出到DWH;"清洁"PII-在该地区以外被禁止。
区域内的DR:同一国家/地区(或具有类似保护和侏罗纪的允许跨区域)的"热门"复制品。基础)。
BYOK/HYOK:在区域/客户控制下的加密密钥;具有端到端审核的KMS。
7)跨境转移: 法律机制(框架)
合同:- 标准合同条款/本地对应项(SCC/IDTA/dop.协议)。
- 转让给第三国的附加协议(DPA,SSA,Schrems兼容的风险评估)。
- 风险评估:TIA/TRAs(转移/第三个国家风险评估)。
- 技术措施:加密、角色划分、令牌化、最小化。
- 组织器官:"需要知道"访问政策,日志,培训。
8)区域简介(模板)
对于每个市场,支持卡片:
Юрисдикция: ______
Требования к резидентности: (обязательная/рекомендуемая/нет)
Запреты на трансграничность: (полный/условный/нет)
Разрешенные механизмы передачи: (SCC/IDTA/локальное соглашение)
Особые категории: (биометрия/финансы/RG)
Бэкапы/DR: (где, частота, шифрование)
Логи/телеметрия: (можно ли выводить за рубеж, в каком виде)
Сроки хранения: (KYC, платежи, игровые, RG/SE)
Удаление/DSAR: (SLA, подтверждения)
Вендоры/облака: (разрешенные регионы)9) Backaps、Logs、Analytics的本地化
Bacaps:加密,在同一地区,位置证明目录(提供者/bacap-wolt/retentia)。
Logi/Traces:默认情况下为PII免费;如果PII是不可避免的-具有编辑/掩码的本地日志存储库。
分析/DWH:仅别名密钥;具有k匿名性的单元;禁止无故将"原始"事件卸载到该地区以外。
10)供应商和云
带有字段的供应商寄存器:注册国家/地区,数据中心区域,证书(ISO/PCI/SOC),DPA/SCC/IDTA签名,密钥模式,子处理器。
"飞行前"程序:司法管辖区评估,DPIA/TIA,区域内的容错测试,区域内的"数据恢复"检查。
合同条款:子处理器/位置变更通知,审计权,清算时间,罚款。
11)删除、回避和DSAR
存储策略:KUS/财务/游戏/博客-单独的时间表(通常为5-7年的合规性;在营销中-更短)。
技术上强制删除(erasure):带有报告的级联删除jobs;归档的加密删除(密钥删除)。
DSAR/主题权利:仅在区域范围内处理访问/修复/删除请求;响应工件-在本地WORM中。
12)控制程序和审计
Data Lineage:字段来源、跨境流路线、出口散列签名。
Access Reviews:季度访问权评论,跨区域查询报告。
传输日志:何人/何时/何地/数据基础/视图/PII掩码/结果。
供应商审查:年度报告和五年期/认证。
CAPA:对发现、截止日期和责任的更正。
13)产品和API要求
Geo-router:反击"player_region"并将请求发送到"家庭"群集。
14)矩阵"在哪里存储"(示例)
15) KPI/dashboard编译本地化
Residency Coverage:PII位于正确区域的受试者百分比。
X-Border请求率:跨境访问请求的比例(按角色/部门)。
匿名出口共享:通过DE-PII的全球DWH出口份额。
Backup Locality SLA:本地区域确认的备份的百分比。
Vendor Region Drift:位置变更/子处理器事件。
DSAR SLA:区域周边的执行中位数。
审计问题(repeat):重复不一致。
16)支票单
在进入新司法管辖区之前
- 数据图和分类。
- 管辖权卡(要求、备份、日志、保留期限)。
- 区域建筑计划(VPC/cluster/DB/KMS)。
- DPIA/TIA,条约(DPA/SCC/本地对应物)。
- Vendor assessment (DC位置、子处理器)。
- 策略集:访问/删除/导出。
在操作中
- 每天对新条目进行"居住安排"验证。
- 监测跨区域的请求和偏差。
- 验证备份/日志的位置。
- 区域内的DSAR队列。
审计/改进
- 对供应商/地区的季度审计。
- 每个区域的DR测试(1/季度)。
- CAPA违规行为(时限/责任)。
17)模板(快速插入)
A) Clause with vendor(数据本地化)
(B)出口政策(国内申请)
C)与业务一起在SLA中进行文本
18)常见错误和预防
Bakaps在"方便"的邻近地区。→禁令;仅限本地备份。
带有PII的徽标飞往全球APM。→代理级别的蒙面,本地合成器。
带有原始ID的全局报告。→仅限聚合/别名。
控制/数据平面混合。→全局控制平台-没有PII。
缺乏居住证据.→保存工件:ID资源、configs快照、供应商报告。
19)30天实施计划
第一周
1.批准本地化策略和数据分类模型。
2.绘制当前市场的主要流量图。
3.定义区域边界服务和密钥要求(BYOK/HYOK)。
第二周
4.部署区域优先群组1(EU/UK/……);启用Geo-Router。
5.在DWH中启用De-PII流水线,设置本地logi/ARM。
6.与关键供应商签署/更新DPA/SCC/IDTA。
第3周
7.PII迁移到区域DB;本地备份和DR计划。
8.引入跨境出口申请流程(门户网站+杂志)。
9.根据新规则培训团队(Prod/BI/CS/Legal)。
第四周
10.进行DR测试和选择性居住审核。
11.启用KPI(驻留覆盖,Backup Locality SLA)减速板。
12.发现差异的CAPA;计划v1。1(以下市场)。
20)相互关联的部分
KYC程序和验证级别/年龄验证
AML策略和事务控制
负责任的游戏和极限/SE/现实检查
监管报告和数据格式
Dashboard complians和监控
内部/外部审计和审计清单
BCP/DRP和"加密At Rest/In Transit"